fbpx

บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (LASM) นโยบายการคุ้มครองข้อมูลส่วนบุคคล

  หน้าหลักTOSTEM Thailand  /  บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (LASM) นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (LASM) นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (LASM)

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

 สารบัญหน้า
วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล1
นิยามสำคัญ1
การเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย2
ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล5
แหล่งที่มาของข้อมูลส่วนบุคคล5
สิทธิของเจ้าของข้อมูลส่วนบุคคล6
หน้าที่และความรับผิดชอบของบุคลากร8
มาตรการการคุ้มครองข้อมูลส่วนบุคคล10
(9)      การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล11
(10)    การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ11
(11)    การละเมิดข้อมูลส่วนบุคคล12
(12)    การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล12
(13)    การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล12

(1) วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติม ใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (LASM)  จึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลแก่บุคลากรและพนักงานของบริษัท หรือบุคลากรและพนักงานของบุคคลภายนอกที่เป็นผู้กระทำการแทนหรือในนามของบริษัท ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับการดำเนินธุรกิจของบริษัทให้เป็นไปโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(2) นิยามสำคัญ

บริษัท” หมายถึง บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด  (LASM) ซึ่งกระทำการใด ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่ระบุในประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละประเภท

ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้า ผู้จัดจำหน่าย ตัวแทนจำหน่าย ผู้บริโภค คู่ค้า ผู้ให้บริการ กรรมการ พนักงาน ลูกจ้าง ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น

ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 

ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

(3) การเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกระทำภายใต้ฐานทางกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกำหนดเป็นแนวทางไว้ในนโยบายฉบับนี้ด้วย ดังนี้

1. กรณีข้อมูลส่วนบุคคลทั่วไป การเก็บข้อมูลส่วนบุคคลนั้นจะทำได้ต่อเมื่อเข้าเงื่อนไขของฐานทางกฎหมายประการใดประการหนึ่งใน 7 ประการ ได้แก่

1.1 ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)

ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 1.2 – 1.7 ของนโยบายนี้ได้ บริษัทจำเป็นต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล การไม่ตอบรับหรือการนิ่งเฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความยินยอมต้องทำเป็นลายลักษณ์อักษร หรือผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจมีรูปแบบตามที่บริษัทจัดทำขึ้น (เช่น หนังสือขอความยินยอม) เว้นแต่การขอความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทำได้ เจ้าของข้อมูลอาจให้ความยินยอมด้วยวาจา ในกรณีดังกล่าวบริษัทจะต้องบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษรพร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น โดยที่บริษัทจะต้องเก็บบันทึกดังกล่าวในที่ปลอดภัยและเข้าถึงได้ง่าย ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจำกัดสิทธิไว้

บริษัทพึงต้องตระหนักอยู่เสมอว่าบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมโดยอิสระและโดยความสมัครใจโดยแท้เท่านั้น

หมายเหตุ กรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ เว้นแต่ในกรณีที่ผู้เยาว์นั้นมีอายุ 10 ปีขึ้นไป ผู้เยาว์คนดังกล่าวอาจให้ความยินยอมเองได้สำหรับกรณีที่เป็นการดำเนินการที่ผู้เยาว์กระทำได้โดยลำพังตามกฎหมาย

1.2 เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การทำวิจัยหรือสถิติ (ฐานจดหมายเหตุ/วิจัย/สถิติ)

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด อย่างไรก็ดี บริษัทอาจไม่เก็บรวบรวมข้อมูลส่วนบุคคลเพียงเพื่อประโยชน์ในการวิจัยหรือวัตถุประสงค์ทางสถิติ โดยการเก็บรวบรวมดังกล่าวจะต้องเป็นไปตามฐานทางกฎหมายอื่น ๆ ที่ระบุในส่วนนี้ด้วย (เช่น ฐานประโยชน์โดยชอบด้วยกฎหมาย)

1.3 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต)

ในบางกรณี บริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใด ๆ (และซึ่งไม่จำกัดเพียงอันตรายต่อเจ้าของข้อมูลส่วนบุคคลเท่านั้น) เช่น กรณีบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอม เพื่อเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

1.4 เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญากับบริษัท (ฐานสัญญา)

ในกรณีที่บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือเพื่อให้บริษัทดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัทนั้น บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

1.5 เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)

ในกรณีที่บริษัทจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

1.6 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทจำเป็นต้องเก็บข้อมูลดังกล่าวเพื่อใช้ดำเนินการเกี่ยวกับประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทและ/หรือบุคคลที่สาม ประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยและปกป้องทรัพย์สินและบุคคลที่อยู่ภายในบริเวณของบริษัท ประโยชน์โดยชอบด้วยกฎหมายในการบริหารจัดการองค์กรของบริษัท เป็นต้น อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการเก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมีความสำคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเพียง สิทธิในการกำหนดเจตจำนงตนเอง สิทธิในความเป็นอิสระ สิทธิในการโยกย้ายถิ่นฐาน สิทธิในความเป็นส่วนตัว สิทธิเสรีภาพทางความคิด สิทธิเสรีภาพทางศาสนา สิทธิเสรีภาพในการแสดงออก สิทธิในการชุมนุมโดยสงบ สิทธิเสรีภาพในการรวมกลุ่ม หรือเป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย แต่บริษัทควรจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป

เพื่อเป็นแนวทางในการปรับใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทจะต้องทำการประเมินว่าการเก็บรวบรวมข้อมูลส่วนบุคคลใดๆ เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ทุกประการหรือไม่

  • บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
  • การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นต่อผลประโยชน์ตามข้อ (1) หรือไม่
  • เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
  • การเก็บรวบรวมข้อมูลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่
  • บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่

1.7 เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)

ในกรณีที่มีกฎหมายกำหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้อาจรวมถึงการดำเนินการกับข้อมูลส่วนบุคคลตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติตามกฎหมายการคุ้มครองแรงงาน การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกำหนด เป็นต้น

2. กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 1.1) เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ดังนี้:

  • ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม เช่นเป็นการใช้ในกรณีฉุกเฉิน
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ:
  • เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
  • ประโยชน์ด้านสาธารณสุข
  • การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจำเป็นต่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
  • การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
  • ประโยชน์สาธารณะอื่นที่สำคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อหน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน

หมายเหตุ แนวทางการพิจารณาและการตีความคำว่า “ประโยชน์สาธารณะ” อาจมีการเปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลำดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการเพิ่มเติมในอนาคต

ทั้งนี้ รายละเอียดในเรื่องของ ประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บข้อมูลส่วนบุคคลของบริษัทนั้นจะปรากฏอยู่ในประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ

3. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลจะต้องถูกเก็บรวบรวมไว้เท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกำหนดไว้เท่านั้น บริษัทจะต้องเก็บรวบรวมข้อมูลเท่าที่จำเป็นที่จะต้องใช้และทิ้งหรือทำลายข้อมูลที่อาจได้มาโดยไม่จำเป็นโดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท

ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลมากเกินความจำเป็น บริษัทต้องหาวิธีการทำให้บริษัทสามารถเก็บข้อมูลส่วนบุคคลได้เท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการเก็บรวบรวมนั้น เช่น ในกรณีที่บริษัทใช้ข้อมูลส่วนบุคคลเพื่อระบุตัวตนของคู่ค้าหรือตัวแทนของคู่ค้าของบริษัทจากสำเนาบัตรประชาชน ซึ่งบริษัทจำเป็นต้องใช้เพียงข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตนของบุคคลดังกล่าว (เช่น ชื่อและรูปภาพ) บริษัทจึงควรหาวิธีการป้องกันมิให้ข้อมูลส่วนบุคคลที่ไม่จำเป็น/ข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่ปรากฏบนบัตรประชาชนอยู่ด้วย (เช่น ศาสนา หมู่โลหิต) ถูกเก็บรวบรวมและรักษาไว้ในการครอบครองของบริษัท ในการนี้ อาจทำได้โดยการขีดฆ่าข้อมูลที่ไม่จำเป็นในสำเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จำเป็นสำหรับการระบุตัวตนเท่านั้น เป็นต้น

(4) ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล

เมื่อจะมีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะจัดทำและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ ประกาศความเป็นส่วนตัวดังกล่าวจะใช้เพื่อชี้แจงรายละเอียดของการประมวลผลข้อมูล คำจำกัดความ ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมายของการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวมหรือระยะเวลาที่คาดหมาย ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อบุคคลหรือหน่วยงานนั้น ๆ ข้อมูลรายละเอียดการติดต่อเกี่ยวกับบริษัท สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐานทางกฎหมายที่สามารถเก็บรวบรวมโดยปราศจากความยินยอมได้

บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งอาจกระทำได้โดยการส่งมอบประกาศความเป็นส่วนตัวในรูปแบบเอกสารแก่เจ้าของข้อมูลส่วนบุคคล หรือนำประกาศความเป็นส่วนตัวดังกล่าว ประกาศลงบนเว็บไซต์ของบริษัท และแจ้งให้เจ้าของข้อมูลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึง กรณีการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยก่อนมีนโยบายนี้และบริษัทยังมีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวอยู่ต่อไป บริษัทจะต้องดำเนินการแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบโดยเร็วที่สุด โดยบริษัทอาจแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึงประกาศความเป็นส่วนตัวดังกล่าว

การแจ้งหรือการส่งมอบประกาศความเป็นส่วนตัวอาจไม่จำเป็นต้องกระทำซ้ำในกรณีที่บริษัทได้เคยแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลดังกล่าวแล้ว แต่ในกรณีที่บริษัทมีการแก้ไขในสาระสำคัญของประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวที่แก้ไขให้กับเจ้าของข้อมูลใหม่ ซึ่งอาจกระทำได้โดยการส่งมอบประกาศความเป็นส่วนตัวในรูปแบบเอกสารแก่เจ้าของข้อมูลส่วนบุคคล หรือนำประกาศความเป็นส่วนตัวดังกล่าวประกาศลงบนเว็บไซต์ของบริษัท และแจ้งให้เจ้าของข้อมูลทราบถึงลิงค์ที่เกี่ยวข้องในการเข้าถึง

(5) แหล่งที่มาของข้อมูลส่วนบุคคล

โดยทั่วไปบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง อย่างไรก็ตามหากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ และขอความยินยอม (ในกรณีที่จำเป็นต้องขอความยินยอม) โดยไม่ชักช้าภายใน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว ในกรณีที่การแจ้งประกาศความเป็นส่วนตัวและการขอความยินยอมนั้นได้กระทำผ่านบุคคลที่สามซึ่งดำเนินการแจ้งประกาศความเป็นส่วนตัวและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในนามของบริษัทแล้ว บริษัทไม่จำเป็นต้องแจ้งประกาศความเป็นส่วนตัว และขอความยินยอม (ในกรณีที่จำเป็นต้องขอความยินยอม) จากเจ้าของข้อมูลส่วนบุคคลอีกครั้งหนึ่ง

ทั้งนี้ เว้นแต่ในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเจ้าของข้อมูลให้ทราบเมื่อทำการติดต่อครั้งแรก และในกรณีที่บริษัทนำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก

อย่างไรก็ตาม บริษัทอาจไม่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลถึงการเก็บข้อมูลและประกาศความเป็นส่วนตัวดังกล่าว หากบริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น เจ้าของข้อมูลส่วนบุคคลเคยได้รับประกาศความเป็นส่วนตัวสำหรับการทำธุรกรรมบางประการกับบริษัทแล้ว และประสงค์จะทำธุรกรรมเช่นเดิมกับบริษัทอีกคราว

นอกจากนี้หากในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทได้ทำการว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทำการแทนตามคำสั่งของบริษัท บริษัทอาจให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้กระทำการแจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เฉกเช่นเดียวกัน

(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทพึงตระหนักว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะดำเนินการใด ๆ กับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความครอบครองของบริษัท ตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงต้องจัดให้มีแบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ขอใช้สิทธิต่าง ๆ กับบริษัท อย่างไรก็ดี ในกรณีที่บริษัทปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุแห่งการปฏิเสธดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร และบันทึกเหตุแห่งการปฏิเสธนั้นไว้เป็นลายลักษณ์อักษร

เมื่อบริษัทได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องตอบสนองต่อคำร้องขอดังกล่าวโดยไม่ชักช้า และภายในระยะเวลาไม่เกินกว่า 30 วัน นับจากวันที่ได้รับคำขอ

1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัท ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่ในความครอบครองของบริษัท ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคลด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล

เหตุในการปฏิเสธ:  บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

–        เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในการครอบครองของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

–         เมื่อบริษัทจะต้องทำตามกฎหมายหรือคำสั่งศาล หรือ

–         เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น

3. สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น

เหตุการปฏิเสธ: บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

–        ข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะ

–         เพื่อปฏิบัติหน้าที่ตามกฎหมาย

–         เมื่อการใช้สิทธินั้นจะเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น บริษัทอาจปฏิเสธคำขอกรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง

4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:

(1)     ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นไม่จำเป็นต่อการดำเนินการใด ๆ เพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ เช่น การปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐ

เหตุปฏิเสธคำขอ (สำหรับข้อ 4 (1)): บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(2)     กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข

(3)     เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ

ในกรณีที่บริษัทไม่สามารถระบุเหตุผลในการปฏิเสธคำขอดังกล่าวได้ บริษัทจะต้องดำเนินการแยกข้อมูลส่วนบุคคลนั้นออกจากข้อมูลส่วนบุคคลอื่นทันที เมื่อได้รับแจ้งถึงการคัดค้านของเจ้าของข้อมูล

5. สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (เช่น การทำให้ข้อมูลส่วนบุคคลนั้นกลายเป็นข้อมูลนิรนามที่ไม่สามารถระบุตัวบุคคลของเจ้าของข้อมูลได้) เมื่อมีเหตุผลใดเหตุผลหนึ่งดังนี้:

(1)     ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว

(2)     เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก

(3)     เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคำคัดค้านได้

(4)     ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย

เหตุปฏิเสธคำขอ: บริษัทอาจปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิในกรณีต่อไปนี้เท่านั้น:

–         เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงออก/การแสดงความคิดเห็น

–         เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทำเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ

–         เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุข

–         การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

–         การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย

หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทำของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลได้มีคำขอให้ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนได้ บริษัทต้องดำเนินการในการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดำเนินการเช่นว่าด้วย

6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ:

(1)     เจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทและอยู่ในระหว่างการพิจารณา อย่างไรก็ดี บริษัทอาจปฏิเสธคำขอดังกล่าวได้หากบริษัทพิจารณาแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการยกเลิกพร้อมเหตุผล

(2)     เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ

(3)     ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจำเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง

(4)     บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคลของเจ้าของข้อมูล อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทพิจารณาแล้วเห็นว่าบริษัทมีสิทธิในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น

7. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

8. สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(7) หน้าที่และความรับผิดชอบของบุคลากร

พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลำดับขั้น ดังนี้

1. ตำแหน่งกรรมการผู้จัดการและบุคลากรระดับบริหาร

มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
  • จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
  • เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือการแก้ไขเปลี่ยนแปลงใดๆตามนโยบายนี้
  • พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล  และ/หรือบุคคลอื่นใด

2. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คำแนะนำแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายในบริษัท รวมถึงการตรวจสอบและอนุมัติวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
  • วิเคราะห์ ประเมิน และให้คำแนะนำแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  • รายงานเหตุการณ์ต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังกรรมการผู้จัดการและบุคลากรระดับบริหาร
  • ติดต่อประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
  • ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎ ประกาศ คำสั่ง ระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการเปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
  • อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง

3. ตำแหน่งระดับผู้จัดการแผนก

มีหน้าที่กำกับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้

  • อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
  • จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลประเภทใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลประเภทใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
  • จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้
  • อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  • ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
  • จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของแผนกตามรายการที่กำหนดในนโยบายนี้
  • จัดเก็บรายงานกรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใดๆ ที่เหมาะสมตามนโยบายนี้ต่อไป
  • แจ้งผู้บังคับบัญชาและ/หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล

4. ตำแหน่งระดับพนักงาน

มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอนเปิดเผย หรือ การบันทึกข้อมูล ต่าง ๆ เป็นต้น
  • แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ในบริษัท หรือคำสั่งให้กระทำการใด ๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
  • ร้องขอให้ผู้บังคับบัญชาให้อนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • แจ้งให้ผู้บังคับบัญชา และ/หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

5. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท

มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
  • แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
  • สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน หากการฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจำคุกสำหรับผู้กระทำการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด

(8) มาตรการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกำหนด

(9) การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ได้แก่

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูล
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
  • สิทธิและวิธีการและเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
  • การปฏิเสธหรือคัดค้านคำขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้ และ
  • คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น

ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบและสามารถบังคับตามสิทธิได้ ตลอดจนการอำนวยความสะดวกในการเปิดเผยข้อมูลให้กับเจ้าพนักงานเมื่อมีการร้องขอ

(10) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ

บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้

1. ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่

  • เป็นการปฏิบัติตามกฎหมาย
  • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
  • เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
  • เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
  • เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

3. กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ในปัจจุบัน คณะกรรมการยังมิได้มีการกำหนดประเทศที่มีมาตรฐานเพียงพอและยังไม่มีการรับรองนโยบายการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ อย่างไรก็ตาม บริษัทก็ยังสามารถส่งข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้หากบริษัทได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ ปัจจุบันกฎหมายยังไม่ได้กำหนดมาตรฐานดังกล่าวไว้แต่อย่างใด บริษัทจึงสามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามเงื่อนไขที่กำหนดไว้ในข้อ 2 จนกว่าจะมีการประกาศใช้กฎหมายเพิ่มเติมในเรื่องดังกล่าว

(11) การละเมิดข้อมูลส่วนบุคคล

เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรทุกคนจะต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะต้องแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทำได้ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย   

เพื่อบริษัทจะปฏิบัติตามหน้าที่ข้างต้น พนักงานทุกคนต้องแจ้งให้ผู้บังคับบัญชาของตนและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยทันทีในกรณีทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล หรือเหตุที่อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคล

(12) การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงเป็นตามสมควร ทั้งนี้ตามการเปลี่ยนแปลงของกฎหมาย และความเหมาะสมทางธุรกิจ

หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงครั้งล่าสุดเมื่อวันที่ 17 มกราคม 2565

(13) การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

บริษัท แอล เอช ที เอเซีย เซลส์ แอนด์ มาร์เก็ตติ้ง จำกัด (สาขารังสิต)

1/6 หมู่ 1 ถ.พหลโยธิน กม. 32 ต.คลองหนึ่ง อ.คลองหลวง จ. ปทุมธานี 12120

โทร. 089-901-1560

e-mail:  dpo.lasm@lixil.com